Egregor: Erpresser-Botschaft am Kassenzettel

19. November, 2020

Erpresser-Botschaft am KassenzettelCencosud, eine der größten Einzelhandelskette in Südamerika, wurde vor kurzem recht publikumswirksam zum Opfer einer Ransomware-Kampagne. Die Angreifer fordern ein Lösegeld in Millionenhöhe – und drucken diese Botschaft auch über die Kassendrucker in den Geschäften! In vielen Geschäften der Kette ist „wegen technischer Probleme“ kein oder nur noch ein eingeschränkter Geschäftsbetrieb möglich.

Geschäftsmodell „Ransomware as a Service“

Die Attacke kann Egregor zugeordnet werden, dem operativen Nachfolger der Maze-Ransomware. Der Ransomware-as-a-Service-Dienst tritt seit September 2020 in Erscheinung. Eine Besonderheit dabei ist, dass die Information über die Geiselnahme der Daten und Lösegeldforderungen auf allen angeschlossenen Druckern ausgegeben wird.

Darüber hinaus folgt Egregor bekannten Pfaden: Firmennetzwerke werden gekapert, sensible Informationen gestohlen, Daten verschlüsselt, Lösegelder gefordert und, sollte nicht (pünktlich) bezahlt werden, gestohlene Daten im Internet veröffentlicht. [1]

Konzerne, KMU, Privatpersonen – alle sind Ziel der Erpresser

Ransomware-Attacken laufen mittlerweile hoch automatisiert ab und nutzen meist sehr aktuelle Schwachstellen der Zielsysteme aus. Nicht nur große Unternehmen, auch KMU und Privatpersonen sind Ziel der Angriffe und verlieren dabei Daten und Geld.

Oft stehen Unternehmen vor Millionenschweren Lösegeldforderungen. Die Optionen sind ernüchternd: entweder bezahlen und hoffen, dass die versprochene Wiederherstellung funktioniert –  oder die Daten verlieren und alle Systeme neu aufbauen.

Inzwischen werden nicht nur mehr bloß Daten verschlüsselt, sondern diese vorab an die Angreifer übermittelt. Die Drohung, sensible Daten zu veröffentlichen, soll den Druck erhöhen und mehr Opfer zur Zahlung bewegen. Da es sich bei solchen Erpressungen um Cyber-Angriffe von organisierten Kriminellen handelt, raten viele Behörden, z.B. das Deutsche Bundesamt für Sicherheit in der Informationstechnik, nachdrücklich von der Zahlung ab. [2]

Die einzige immer wirksame Gegenmaßnahme sind Offline-Backups, bei denen die Daten von den Angreifern nicht erreicht werden können. Im einfachsten Fall hilft schon eine externe USB-Festplatte, die nur zur Datensicherung angesteckt wird.

Linktipp:

Backup-Strategie vom Security-Experten


[1] https://www.bleepingcomputer.com/news/security/retail-giant-cencosud-hit-by-egregor-ransomware-attack-stores-impacted/, https://public.intel471.com/blog/ransomware-as-a-service-2020-ryuk-maze-revil-egregor-doppelpaymer/

[2] https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/Themen/Ransomware.pdf

Image
IoT
Advanced URL Defense

Wir freuen uns auf Sie!

IKARUS Security Software GmbH
Blechturmgasse 11
1050 Wien

Telefon: +43 (0) 1 58995-0
Fax: +43 (0) 1 58995-100
Sales Hotline: +43 (0) 1 58995-500

SUPPORT-HOTLINE

Support-Hotline:
+43 (0) 1 58995-400
support@ikarus.at

Support-Zeiten:
Mo bis Do: 8.00 – 17.00 Uhr
Fr: 8.00 – 15.00 Uhr

Fernwartung:
TeamViewer Download
AnyDesk Download